Здравствуйте, у меня похожая проблема, тоже в автозагрузке висит процесс ЎЎЎЎЎЎ.lnk правда запущен XP-2E59DEA7.EXE

я пытался выплнить В avz СКРИПТ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{341A9B2D-8CBE-47DC-8EDB-CFC45888D8B2}');
QuarantineFile('C:\WINDOWS\system32\fedlib.dll','');
QuarantineFile('C:\WINDOWS\system32\XP-A86D1FCD.EXE','');
QuarantineFile('C:\WINDOWS\system32\mmfinfo.dll','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\E_4\shell.fne','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\E_4\krnln.fnr','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\E_4\internet.fne','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\E_4\eAPI.fne','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\E_4\dp1.fne','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\E_4\com.run','');
QuarantineFile('c:\windows\system32\xp-a86d1fcd.exe','');
QuarantineFile('C:\WINDOWS\system32\Flashy.exe','');
DeleteFile('C:\WINDOWS\system32\Flashy.exe');
DeleteFile('c:\windows\system32\xp-a86d1fcd.exe');
DeleteFile('C:\WINDOWS\system32\XP-2E59DEA7.EXE');
DeleteFile('C:\WINDOWS\system32\fedlib.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
однако это не помогло, поцесс никуда не исчез, через msconfig я его остановил но после перезагрузки он снова запускается или запускается клон этого процесса, как быть? при вставке флешек на них создаются autoran файлы с именами уже имеющихся на флешке папок, я подозреваю что этот процесс их и создает?

Выполнять чужие скрипты запрещено.
Выполните правила (http://forum.oszone.net/thread-98169.html) оказания помощи

не могу выполнить правила оказания помощи

peugep, в случае проблем с автоматическим обновлением баз можно скачать архив, содержащий всю базу avzbase.zip (http://z-oleg.com/secur/avz_up/avzbase.zip)
через msconfig я его остановил но после перезагрузки он снова запускается »
Перед формированием логов включите все, что отключили через msconfig

peugep, Вы логи делать будете?

riga_f, nonamedz и все посетители: советы без логов не давать!

Вы логи делать будете? »

буду, пока не успеваю, проверить на вирусы 660гб довольно долго, и еще такая проблема: у меня стит и XP и Vista по умолчанию, при входе через F8 в безопасном режиме заходит в Висту, никак не разберусь, как зайти в БР в XP.
riga_f
диспетер его не видит, только через msconfig нахожу, при остановке он или перезапускается после перезагрузки или создает клон процесса, папки system32 эти файлы УУУУ.exe и XP-2E59DEA7.EXE »
в папке system32 их нет, даже скрытых, нашел правда два способа борьбы:
1. запретил autorun для всех дисков (насколько я понял, их создает этот процесс, я прав?)
2. создал сам на всех дисках папки autopun.inf и вложил в них пустые текстовые файлы.

nonamedz, доктовра веба..CureID вроде) весит всего 13метров »
есть и то и другое, на этот процесс им пофиг, вообще не видят....

никак не разберусь, как зайти в БР в XP » наводите на строчку с записью "ХР", нажимаете Enter и через секунду - F8. Или через msconfig - вкладка boot.ini - поставить галочку возле "safeboot"

peugep, пропустите проверку в безопасном режиме пока.
Сделайте логи утилитами AVZ и HiJack в обычном режиме

в папке system32 их нет, даже скрытых, нашел правда два способа борьбы:
1. запретил autorun для всех дисков (насколько я понял, их создает этот процесс, я прав?)
2. создал сам на всех дисках папки autopun.inf и вложил в них пустые текстовые файлы. »
Не помню полного названия вируса, но что-то похожее на Trojan.VB.jay
Не удивлюсь, если еще и csrcs.exe висит в процессах. Вирус убрал через реестр показ скрытых файлов.
Что запретили автозапуск это хорошо, но он стартует по автозапуску из реестра (если видите его в msconfig)

peugep, Если в вашем следующем сообщении не будет логов, тема будет закрыта.

okshef,
а там еще 5 вкладок дополнительных минимал, нетворк и т.д. какую выбрать?
Pili,
сегодня ночью или завтра обязательно

peugep, минимал

okshef, я бы не советовал менять boot.ini на зараженной системе. Ибо безопасный режим может быть поврежден (удалением ветки реестра SafeBoot) и система войдет либо в BSOD, либо в бесконечный цикл.

Ну вот, вроде все по инструкции делал!

да, еще проблема, нвый "гостинец" дочка принесла из универа: на всех дисках стали возникать файлы типа ******.exe где ****** название какой либо из существовавших на диске папок.

Пофиксите:

O2 - BHO: Система доступа к платному контенту Mente Agent v2.0.0 - {BDF91E37-BA57-4755-BDDA-4223CB27D050} - (no file)
O2 - BHO: FieryAds advertising module v1.5.0 - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - C:\PROGRA~1\FieryAds\FieryAds.dll (file missing)

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\uxtheme.dll','');
QuarantineFile('C:\DOCUME~1\Alex\LOCALS~1\Temp\osama.pif','');
QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
QuarantineFile('C:\DOCUME~1\Alex\APPLIC~1\MENTEA~1\ccmod.dll','');
QuarantineFile('C:\WINDOWS\system32\ELITEC~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
DeleteFile('C:\DOCUME~1\Alex\APPLIC~1\MENTEA~1\ccmod.dll');
DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Файл quarantine.zip появится в папке с AVZ. Его выслать на koshkin@rbcmail.ru Выслать обязательно. Там копия предполагаемого вируса из Вашей ОС.

Добавлю к предыдущему сообщению

C:\DOCUME~1\Alex\LOCALS~1\Temp\osama.pif проверьте на virustotal (http://www.virustotal.com/ru) Ссылку на результат проверки сообщите

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
DeleteFile('C:\WINDOWS\system32\explorer.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. »
peugep, и мне пожалуйста тоже отправьте и этот quarantine.zip.

я вот например в первую очередь отрубаю через политику безопасности автозапуск на все устройства!!!!
и сам работаю под пользователем!!!! а админская запись редко когда нужна.. это если что то утсановить!!!
Говорю же вам не мучайтесь ! снесите винду, поставьте все заново!!! и правильно ее настройте!! и свежее ПО будет и потом меньше проблем!!!

Пофиксите:
Код: »
Я очень извиняюсь, но что значит "пофиксите",
и как отключить восстановление? я не чайник...
я электросамовар...

Котяра
у вас ящик переполнен

Я очень извиняюсь, но что значит "пофиксите", »
Запускаете HijackThis. Нажимаете "Do a system scan only". Отмечаете указанные мною пункты.
и как отключить восстановление? »
Правой кнопкой мыши щелкните значок "Мой компьютер". Выберите команду "Свойства". Затем вверху щелкните "Восстановление системы". Поставьте флажок "Отключить восстановление системы на всех дисках" и нажмите ОК.
у вас ящик переполнен »
Сейчас почищу.